LiveHelperChat 4.61 Facebook集成页面名称字段存储型XSS漏洞分析

本文详细分析了LiveHelperChat 4.61版本中存在的存储型跨站脚本(XSS)漏洞,攻击者可通过Facebook集成页面的名称字段注入恶意载荷,当高权限用户访问该设置时触发执行。

漏洞标题:LiveHelperChat 4.61 - 通过Facebook集成页面名称字段的存储型跨站脚本(XSS)

日期:2025-07-22

漏洞作者:Manojkumar J (TheWhiteEvil)

Linkedin:https://www.linkedin.com/in/manojkumar-j-7ba35b202/

厂商主页:https://github.com/LiveHelperChat/livehelperchat/

软件链接:https://github.com/LiveHelperChat/livehelperchat/

版本:<=4.61

已修复版本:4.61

分类:Web应用程序

测试环境:Mac OS Sequoia 15.5, Firefox

CVE:CVE-2025-51398

漏洞利用链接:https://github.com/Thewhiteevil/CVE-2025-51398

Live Helper Chat版本≤4.61中存在一个存储型跨站脚本(XSS)漏洞,攻击者可以通过向Facebook页面集成名称字段注入特制载荷来执行任意JavaScript代码。该载荷被存储并在高权限用户(例如管理员)访问或编辑集成设置时执行,导致存储型跨站脚本(XSS)攻击。

复现步骤:

  1. 以操作员身份登录
  2. 导航到Facebook页面集成功能
  3. 创建新的Facebook页面集成,在Facebook页面集成名称字段中输入以下载荷: 
    1

    "><img src="x" onerror="prompt(1);">
  4. 保存更改
  5. 当高权限用户(例如操作员或管理员)访问或编辑Facebook页面集成时,存储的载荷会被执行,导致存储型跨站脚本(XSS)攻击。
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次